Hackers exploram software de troca de arquivos da IBM

Os grupos de ransomwae BuhtiRansom e IceFire Ransom estão vinculados a ataques direcionados a servidores vulneráveis
Da Redação
03/04/2023

Grupos de ransomware estão usando o software de transferência de arquivos da IBM sem correção para tentar atacar empresas. O software Aspera Faspex da IBM é um aplicativo de troca de arquivos corporativo amplamente adotado, cuja reputação é a sua capacidade de proteger e mover rapidamente arquivos grandes.

Especialistas em segurança alertam que uma falha corrigida no software pela IBM em 8 de dezembro do ano passado, a qual pode ser usada para contornar a autenticação e explorar remotamente o código, está sendo explorada ativamente, inclusive por vários grupos de ransomware.

Embora a falha tenha sido corrigida, a IBM não parece ter detalhado imediatamente a vulnerabilidade  — uma das muitas — corrigida nessa atualização. Em um alerta de segurança de 26 de janeiro, a IBM disse que a falha, identificada como CVE-2022-47986 e com escore de 9.8 na escala do sistema de pontuação comum de vulnerabilidades (CVSS), “poderia permitir que um invasor remoto executasse código arbitrário no sistema”.

O grupo de rastreamento de atividades maliciosas Shadowserver alertou, em 13 de fevereiro, que estava vendo tentativas ativas de explorar o CVE-2022-47986 em versões vulneráveis do Aspera Faspex. O desenvolvedor de software Raphael Mendonça relatou em 16 de fevereiro que um grupo chamado BuhtiRansom estava “criptografando vários servidores vulneráveis”.

BuhtiRansom é um grupo de ransomware relativamente novo que o grupo de inteligência de ameaças da Unit 42 de Palo Alto Networks identificou usando ransomware escrito em linguagem Go que infecta sistemas Linux. O grupo estava orientando as vítimas a pagar o resgate por meio do “SatoshiDisk[.]com, um site para pagamento em Bitcoin atualmente hospedado no Cloudflare IP”, relatou o pesquisador de malware Brad Duncan, analista de inteligência de ameaças da Unit 42.

Segmentar software ou dispositivos de transferência de arquivos não é uma tática nova para grupos de ransomware. O grupo Clop, em particular, assumiu o crédito por uma campanha de ataque em larga escala nos últimos meses contra usuários do software de transferência de arquivos amplamente utilizado da Fortra, o GoAnywhere MFT. Ao explorar uma vulnerabilidade de dia zero — e mais recentemente, vítimas que ainda não corrigiram a falha — o grupo parece ter feito mais de 130 vítimas.

Veja isso
Hacker descreve ataque à IBM e à Universidade de Stanford
Falha na cadeia de suprimentos afeta bancos de dados IBM Cloud

A empresa de segurança Rapid7 recomendou nesta semana que os usuários do Aspera Faspex coloquem seu software offline imediatamente, a menos que o atualizem para uma versão corrigida. 

A falha é uma vulnerabilidade de desserialização no código Ruby on Rails do Aspera Faspex versão 4.4.2 executando patch nível 1 e anterior. A IBM corrigiu a vulnerabilidade removendo a chamada de API. Os usuários também podem atualizar para o Faspex 5.x, que não possui a vulnerabilidade.

O Buhti não é o único grupo de ransomware vinculado a ataques contra o software de transferência de arquivos da IBM. A divisão de inteligência de ameaças do SentinelOne, o SentinelLabs, informou em 9 de março ter rastreado o IceFire Ransom, um grupo de ransomware detectado pela primeira vez em março de 2022, explorando a vulnerabilidade no Aspera Faspex.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)